Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Catatan
Paket Basic, Standard, dan Enterprise memasuki periode pensiun pada 17 Maret 2025. Untuk informasi selengkapnya, lihat pengumuman penghentian Azure Spring Apps.
Artikel ini berlaku untuk:✅ Basic/Standard ✅ Enterprise
Artikel ini berisi spesifikasi untuk penggunaan Azure Spring Apps di jaringan virtual.
Saat Azure Spring Apps disebarkan di jaringan virtual Anda, aplikasi tersebut memiliki dependensi keluar pada layanan di luar jaringan virtual. Untuk tujuan manajemen dan operasional, Azure Spring Apps harus mengakses port tertentu dan nama domain lengkap (FQDN). Azure Spring Apps memerlukan titik akhir ini untuk berkomunikasi dengan bidang manajemen dan untuk mengunduh, serta menginstal komponen inti kluster Kubernetes dan pembaruan keamanan.
Secara default, Azure Spring Apps memiliki akses internet keluar (egress) yang tidak terbatas. Tingkat akses jaringan ini memungkinkan aplikasi yang Anda jalankan untuk mengakses sumber daya eksternal sesuai kebutuhan. Jika Anda ingin membatasi lalu lintas keluar, sejumlah port dan alamat terbatas harus dapat diakses untuk tugas pemeliharaan. Solusi paling sederhana untuk mengamankan alamat keluar adalah penggunaan perangkat firewall yang dapat mengontrol lalu lintas keluar berdasarkan nama domain. Azure Firewall, misalnya, dapat membatasi traffic HTTP dan HTTPS keluar berdasarkan FQDN tujuan. Anda juga dapat mengonfigurasi firewall dan aturan keamanan pilihan Anda untuk mengizinkan port dan alamat yang diperlukan ini.
Persyaratan sumber daya Azure Spring Apps
Daftar berikut menunjukkan persyaratan sumber daya untuk layanan Azure Spring Apps. Sebagai persyaratan umum, Anda tidak boleh mengubah grup sumber daya yang dibuat oleh Azure Spring Apps dan sumber daya jaringan yang mendasarinya.
- Jangan ubah grup sumber daya yang dibuat dan dimiliki oleh Azure Spring Apps.
- Secara default, grup sumber daya ini diberi nama
ap-svc-rt_<service-instance-name>_<region>*danap_<service-instance-name>_<region>*. - Jangan blokir Azure Spring Apps agar dapat memperbarui sumber daya di grup sumber daya ini.
- Secara default, grup sumber daya ini diberi nama
- Jangan ubah subnet yang digunakan oleh Azure Spring Apps.
- Jangan buat lebih dari satu instans layanan Azure Spring Apps di subnet yang sama.
- Saat menggunakan firewall untuk mengontrol lalu lintas, jangan blokir lalu lintas keluar berikut ke komponen Azure Spring Apps yang mengoperasikan, memelihara, dan mendukung instans layanan.
Aturan jaringan yang diperlukan untuk Azure Global
| Titik akhir tujuan | Pelabuhan | Menggunakan | Catatan |
|---|---|---|---|
| *:443 atau ServiceTag - AzureCloud:443 | TCP:443 | Manajemen Layanan Azure Spring Apps. | Untuk informasi tentang instans layanan requiredTraffics, lihat payload sumber daya, di bawah bagian networkProfile. |
| *.azurecr.io:443 atau ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Container Registrydi jaringan virtual. |
| *.core.windows.net:443 dan *.core.windows.net:445 atau ServiceTag - Storage:443 dan Storage:445 | TCP:443, TCP:445 | Azure Files | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Storagedi jaringan virtual. |
| *.servicebus.windows.net:443 atau ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Event Hubsdi jaringan virtual. |
| *.prod.microsoftmetrics.com:443 atau ServiceTag - AzureMonitor:443 | TCP:443 | Monitor Azure. | Memungkinkan panggilan keluar ke Azure Monitor. |
Azure Global memerlukan aturan FQDN dan aturan aplikasi
Azure Firewall memberikan tag FQDN AzureKubernetesService untuk menyederhanakan konfigurasi berikut:
| Tujuan FQDN | Pelabuhan | Menggunakan |
|---|---|---|
| *.azmk8s.io | HTTPS:443 | Manajemen Dasar Kluster Kubernetes. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Penyimpanan MCR yang didukung oleh Azure CDN. |
| management.azure.com | HTTPS:443 | Manajemen Dasar Kluster Kubernetes. |
| login.microsoftonline.com | HTTPS:443 | Autentikasi Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositori paket Microsoft. |
| acs-mirror.azureedge.net | HTTPS:443 | Repositori diperlukan untuk menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
Microsoft Azure yang dioperasikan oleh 21Vianet aturan jaringan yang diperlukan
| Titik akhir tujuan | Pelabuhan | Menggunakan | Catatan |
|---|---|---|---|
| *:443 atau ServiceTag - AzureCloud:443 | TCP:443 | Manajemen Layanan Azure Spring Apps. | Untuk informasi tentang instans layanan requiredTraffics, lihat payload sumber daya, di bawah bagian networkProfile. |
| *.azurecr.cn:443 atau ServiceTag - AzureContainerRegistry:443 | TCP:443 | Azure Container Registry. | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Container Registrydi jaringan virtual. |
| *.core.chinacloudapi.cn:443 dan *.core.chinacloudapi.cn:445 atau ServiceTag - Storage:443 dan Storage:445 | TCP:443, TCP:445 | Azure Files | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Storagedi jaringan virtual. |
| *.servicebus.chinacloudapi.cn:443 atau ServiceTag - EventHub:443 | TCP:443 | Azure Event Hubs. | Dapat diganti dengan mengaktifkan titik akhir layanan Azure Event Hubsdi jaringan virtual. |
| *.prod.microsoftmetrics.com:443 atau ServiceTag - AzureMonitor:443 | TCP:443 | Monitor Azure. | Memungkinkan panggilan keluar ke Azure Monitor. |
Microsoft Azure yang dioperasikan oleh 21Vianet memerlukan aturan FQDN / aplikasi
Azure Firewall menyediakan tag AzureKubernetesService FQDN untuk menyederhanakan konfigurasi berikut:
| Tujuan FQDN | Pelabuhan | Menggunakan |
|---|---|---|
| *.cx.prod.service.azk8s.cn | HTTPS:443 | Manajemen Dasar Kluster Kubernetes. |
| mcr.microsoft.com | HTTPS:443 | Microsoft Container Registry (MCR). |
| *.data.mcr.microsoft.com | HTTPS:443 | Penyimpanan MCR yang didukung oleh Azure CDN. |
| management.chinacloudapi.cn | HTTPS:443 | Manajemen Dasar Kluster Kubernetes. |
| login.chinacloudapi.cn | HTTPS:443 | Autentikasi Microsoft Entra. |
| packages.microsoft.com | HTTPS:443 | Repositori paket Microsoft. |
| *.azk8s.cn | HTTPS:443 | Repositori diperlukan untuk menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
FQDN opsional Azure Spring Apps untuk pengelolaan kinerja aplikasi pihak ketiga
| Tujuan FQDN | Pelabuhan | Menggunakan |
|---|---|---|
| collector*.newrelic.com | TCP:443/80 | Jaringan agen APM New Relic yang diperlukan dari wilayah AS, lihat juga Jaringan Agen APM. |
| collector*.eu01.nr-data.net | TCP:443/80 | Jaringan agen New Relic APM yang diperlukan dari wilayah Eropa, lihat juga Jaringan Agen APM. |
| *.live.dynatrace.com | TCP:443 | Jaringan agen APM Dynatrace yang diperlukan. |
| *.live.ruxit.com | TCP:443 | Jaringan agen APM Dynatrace yang diperlukan. |
| *.saas.appdynamics.com | TCP:443/80 | Jaringan agen APM AppDynamics yang diperlukan, lihat juga Domain SaaS dan Rentang IP. |
FQDN opsional untuk Azure Spring Apps dalam Wawasan Aplikasi
Anda perlu membuka beberapa port keluar di firewall server Anda untuk memungkinkan Application Insights SDK atau Agen Application Insights mengirim data ke portal. Untuk informasi selengkapnya, lihat bagian Port keluar dari Alamat IP yang digunakan oleh Azure Monitor.
Tag layanan VirtualNetwork
Grup keamanan jaringan Azure dapat memfilter lalu lintas jaringan dalam jaringan virtual Azure. Saat Anda mengaktifkan lalu lintas jaringan masuk menggunakan tag layanan VirtualNetwork, lalu lintas tersebut secara otomatis menyertakan semua rentang alamat IP dari jaringan virtual beban kerja dan jaringan virtual transit yang di-peeringkan.
Untuk Azure Spring Apps yang berjalan di Azure Kubernetes Service (AKS), infrastruktur AKS mengelola awalan alamat IP untuk beban kerja pada semua kumpulan simpul AKS. Awalan ini secara implisit disertakan dalam VirtualNetwork tag layanan. Desain ini memastikan bahwa aplikasi tetap dapat diakses dalam jaringan virtual, bahkan jika alamat IP mereka berada di luar rentang IP jaringan virtual yang ditentukan.
Jika Anda memutuskan untuk tidak mengizinkan lalu lintas menggunakan VirtualNetwork tag layanan, Anda harus mengonfigurasi aturan tertentu untuk mengizinkan komunikasi antara subnet runtime layanan Azure Spring Apps dan subnet aplikasi. Selain itu, Anda perlu secara eksplisit mengizinkan lalu lintas dari rentang Classless Inter-Domain Routing (CIDR) cadangan Azure Spring Apps, yang digunakan oleh infrastruktur AKS di bawahnya. Anda tidak dapat menambahkan hanya sebagian dari rentang CIDR ke daftar izin karena awalan alamat untuk beban kerja bersifat dinamis.